Beiträge

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier:

Süddeutsche Zeitung – Bundeswehr – Mission: unklar

Die Süddeutsche Zeitung berichtete über die Veröffentlichung einer Studie der Stiftung Wissenschaft und Politik zur generellen Sinnhaftigkeit des Einsatzes von Cyberwaffen. Zu dieser Veröffentlichung haben wir mit dem Autor ein Hintergrundgespräch geführt.

Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es – etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.

Den vollständigen Artikel findet ihr hier:

Verantwortungsdiffusion und Zuständigkeitschaos der staatlichen Cybersicherheitsarchitektur

 

Auch aus unserer Sicht eine spannende Frage, also haben wir dazu einen kleinen Thread geposted.

Wir befinden uns immer noch in einer Situation, wo sich die einzelnen Institutionen im Wesentlichen durch #Koexistenz statt #Kooperation auszeichnen. 1/6 
Software, Hardware und Know-How wird individuell beschafft und sorgt für eine suboptimale Nutzung – leider auch nicht zum Schutz unserer Kritischen Infrastrukturen. 2/6 
Das #NCAZ, das im #Krisenfall die Reaktion der #Behörden koordinieren soll, hat unklare geregelte Zuständigkeiten, da die Entscheidung, wer zuständig ist, von korrekter #Attribution ausgeht. 3/6 
Ein unabhängiges @BSI_Bund könnte hier übergreifende Prozesse schaffen, so könnte das #BSI als zentraler und defensiver Ankerpunkt die wesentliche koordinierende Rolle als Drehscheibe einnehmen und die Verantwortungsdiffusion zu großen Teilen auflösen. 4/6 
Solange sich einzelne #Behörden nicht austauschen und nur mäßig funktionierende gemeinsame Lagezentren vorhanden sind, die einen trägen Informationsaustausch pflegen, bezeichnen wir das als „chaotisch“. 5/6 
Andere Länder sind hier bereits weiter. Wir fordern – rein defensive – gemeinsame Lagezentren von #Staat#Wirtschaft und #Forschung6/6 

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!